Un seul grand réseau à plat
Les réseaux ont une tendance naturelle à se complexifier inutilement. Mais il y a une grande valeur à garder les réseaux propres et simples. Les réseaux simples sont plus faciles à gérer, plus performants et plus fiables tout en étant généralement moins coûteux. Chaque réseau a besoin d'un niveau de complexité différent et les grands réseaux en exigeront certainement un niveau étendu, mais les petites entreprises peuvent souvent garder leurs réseaux extrêmement simples, ce qui contribue en partie à rendre les petites entreprises plus agiles et moins coûteuses, leur donnant un avantage sur leurs homologues de plus grande taille. C'est un avantage qu'elles doivent exploiter car elles ne bénéficient pas de l'avantage d'échelle des grandes entreprises.
Il y a deux façons d'envisager la complexité d'un réseau. La première est le réseau physique – l'agencement réel des commutateurs et des routeurs qui composent le réseau. La seconde est le réseau logique – la manière dont les plages d'adresses IP sont segmentées, l'emplacement des barrières de routage, etc. Les deux sont importants à prendre en compte lorsqu'on examine la complexité de son réseau.
L'objectif de tout réseau devrait être d'être aussi simple que possible tout en répondant à l'ensemble des objectifs et des exigences du réseau.
Le premier aspect que nous aborderons est le réseau physiquement plat. Réduire un réseau physique à une structure plate peut avoir un effet véritablement stupéfiant sur la performance et la fiabilité de ce réseau. Dans un très petit réseau, cela pourrait signifier travailler à partir d'un seul commutateur pour toutes les connexions. En général, cela n'est envisageable que pour les réseaux les plus petits, car les commutateurs dépassent rarement quarante-huit, voire cinquante-deux ports. Mais pour de nombreuses petites entreprises, c'est tout à fait possible. Cela peut nécessiter un câblage supplémentaire dans un bâtiment, afin de ramener toutes les connexions vers un emplacement central, mais c'est souvent réalisable – du moins site par site. De nombreuses entreprises aujourd'hui ont plusieurs sites ou du personnel travaillant depuis leur domicile, ce qui peut accroître considérablement les défis liés au réseau, bien que dans ces cas chaque site puisse viser sa propre simplicité.
À mesure qu'un réseau se développe, le concept du commutateur unique peut lui aussi évoluer en recourant au principe de l'empilage de commutateurs (switch stacking). Les commutateurs empilés partagent une seule matrice de commutation ou fond de panier. Une fois empilés, ils se comportent comme un seul commutateur mais avec davantage de ports. (Certains commutateurs réalisent un véritable partage de fond de panier tandis que d'autres l'imitent à l'aide de ports de liaison montante très haut débit dont la gestion est partagée via ce port.) Une pile de commutateurs se gère comme un seul commutateur, ce qui ne rend la gestion du réseau ni plus difficile, ni plus complexe, ni plus chronophage pour une pile que pour un commutateur unique. Il est courant qu'une pile de commutateurs atteigne au moins trois cents ports, voire davantage. Cela permet une croissance physique du site bien plus importante avant de devoir abandonner l'approche du commutateur unique.
Dans certains cas, certains châssis de commutateur unique à grands modules s'étendront encore au-delà, permettant quatre cents ports ou plus dans un seul commutateur, mais sous la forme d'un châssis de commutation d'entreprise de type “lame”.
En faisant preuve de créativité et en recherchant des solutions simples et élégantes, il est tout à fait possible de maintenir même un réseau modérément grand sur une seule matrice de commutation, permettant à toutes les connexions réseau de partager un unique fond de panier.
Le second domaine que nous devons examiner est la complexité logique du réseau. Même dans des réseaux physiquement simples, il est courant de constater que de petites entreprises investissent un temps et une énergie considérables à mettre en place des sous-réseaux ou des VLAN inutiles, avec toute la surcharge qui les accompagne.
Le sous-réseautage est rarement nécessaire dans une petite, voire une moyenne entreprise de taille modeste. Traditionnellement, en remontant aux années 1990, il était très courant de vouloir limiter les sous-réseaux à un maximum de 256 appareils (soit un sous-réseau /24) en raison des collisions de paquets, des diffusions (broadcasts) et d'autres problèmes pratiques. Cela avait beaucoup de sens à cette époque où l'on utilisait des concentrateurs (hubs) plutôt que des commutateurs, où les diffusions étaient fréquentes et où la bande passante du réseau atteignait, dans le meilleur des cas, 10 Mb/s sur un bus partagé. Les réseaux d'aujourd'hui, à faible diffusion, sans collision et offrant un canal dédié à 1 Gb/s, subissent la charge réseau d'une manière complètement différente. Là où 256 appareils sur un sous-réseau représentaient un réseau extrêmement vaste à l'époque, avoir plus de 1 000 appareils sur un seul sous-réseau ne pose aucun problème aujourd'hui.
Ces évolutions dans le comportement des réseaux signifient que les petites et moyennes entreprises n'ont presque jamais besoin de sous-réseauter pour des raisons d'échelle et peuvent confortablement utiliser un seul sous-réseau pour l'ensemble de leur activité, réduisant ainsi la complexité et facilitant la gestion du réseau. Plus d'un sous-réseau peut être nécessaire pour prendre en charge une segmentation réseau spécifique, comme la séparation des réseaux de production et des réseaux invités, mais l'échelle, la raison traditionnellement invoquée pour sous-réseauter, devient une préoccupation propre aux seules grandes entreprises.
Il est également tentant de vouloir mettre en place des VLAN dans tous les environnements de petites entreprises. Le sous-réseautage et les VLAN sont souvent liés et souvent confondus, mais les sous-réseaux existent fréquemment sans VLAN, tandis que les VLAN n'existent jamais sans sous-réseaux.
Dans les grands environnements, les VLAN sont une évidence et l'on suppose simplement qu'ils existeront. Cette mentalité se diffuse souvent jusqu'aux organisations plus petites, qui sont fréquemment tentées de l'appliquer à des entreprises dépourvues de l'échelle qui rend la gestion des VLAN pertinente. Les VLAN devraient être relativement rares dans un réseau de petite entreprise.
L'endroit le plus courant où je vois des VLAN utilisés alors qu'ils ne sont pas nécessaires est dans les réseaux de voix sur IP, ou VoIP. On suppose couramment que la VoIP a des besoins particuliers qui exigent la prise en charge de VLAN. C'est faux. La VoIP et la QoS dont elle a parfois besoin sont disponibles sans VLAN et fonctionneront souvent mieux sans eux.
Les VLAN ne deviennent réellement importants que lorsqu'une gestion est nécessaire à grande échelle (où l'échelle dépasse ce qu'un seul sous-réseau peut provisionner) et ne peut être physiquement séparée, ou lorsqu'une sécurité spécifique au niveau réseau est requise, ce qui est relativement rare sur le marché des PME. Les VLAN sont très utiles et ont bel et bien leur place. Les VLAN sont souvent utilisés lorsqu'un réseau invité dédié est nécessaire, mais dans une petite entreprise, l'accès invité est généralement fourni via une connexion directe des invités à Internet plutôt que par un réseau mis en quarantaine pour les invités.
L'utilisation pratique la plus courante d'un VLAN dans une PME est probablement un DMZ en jardin clos (walled garden) conçu pour l'accès distant BYOD en quarantaine, où les appareils BYOD se connectent un peu comme des invités mais ont la possibilité d'accéder à des ressources d'accès distant comme les protocoles RDP, ICA ou PCoIP. Les VLAN seraient également prisés pour la construction de DMZ traditionnels destinés aux services publics orientés vers l'extérieur, tels que les serveurs web et de messagerie – sauf que ces services ne sont plus couramment conservés sur le réseau local pour leur hébergement dans les PME d'aujourd'hui, de sorte que cet usage classique des VLAN dans les PME s'estompe rapidement.
Un autre cas d'usage où les VLAN sont souvent employés de manière inappropriée concerne le réseau de stockage (SAN, Storage Area Network). La bonne pratique veut qu'un SAN soit un réseau totalement indépendant (isolé physiquement, air gapped), physiquement distinct et sans rapport avec l'infrastructure de commutation habituelle. Il n'est généralement pas conseillé de créer un SAN à l'aide de VLAN ou de sous-réseaux, mais plutôt de le placer sur des commutateurs dédiés.
Il est tentant d'ajouter des configurations de commutation complexes, des sous-réseaux supplémentaires et des VLAN parce que nous entendons parler de ces choses dans les grands environnements, qu'elles sont amusantes et stimulantes, et qu'elles semblent renforcer la sécurité de l'emploi en rendant le réseau plus difficile à maintenir. Les réseaux complexes exigent des compétences plus pointues et peuvent sembler un excellent moyen de mettre à profit ce certificat de réseautage. Mais à long terme, c'est une mauvaise stratégie de carrière et d'informatique. La complexité du réseau devrait être ajoutée dans un laboratoire à des fins d'apprentissage, et non dans les réseaux de production. Les réseaux de production devraient être exploités de la manière la plus simple, la plus élégante et la plus économique possible.
Avec relativement peu d'efforts, un réseau de petite entreprise peut vraisemblablement être conçu pour être à la fois très simple sur le plan physique et logique. L'objectif, bien entendu, est de se rapprocher autant que possible de la création d'une structure de réseau unique et plate où tous les appareils sont des pairs physiques et logiques, sans goulots d'étranglement ni escalades de protocole inutiles. Cela améliore la performance et la fiabilité, réduit les coûts et libère les ressources informatiques pour se concentrer sur des tâches plus importantes.
Publié initialement sur le blog StorageCraft.
Publicité
